IT Forensik - Datei in Bild verstecken oder finden (strings, binwalk)

Eine beliebige Datei lässt sich mit einem Trick ganz einfach mit einer Bilddatei verschmelzen und ist somit auf den ersten Blick nicht auffindbar. Aber mit den Linux Tools Strings und Binwalk können versteckte Dateien wieder aufgespürt werden.

1. Schritt "Dateien packen"

Ales erstes legt man mit Hilfe von z.B. 7-Zip der WinRAR zwei Dateien in ein Archiv. Dieses kann auch zusätzlich mit einem Passwort geschützt sein.

2. Schritt "Dateien zusammenführen"

Bit dem folgenden Befehl in der Kommandozeile (cmd) können jetzt die Dateien zusammengeführt werden.

copy /b Landschaft.jpg + Downloads.zip D:\

Es lässt sich jetzt gut erkennen, dass die "neue" Datei Landschaft.jpg deutlich mehr Speicherplatz belegt.

Analyse mit "Strings"

sudo apt install binutils
strings Landschaft.jpg

Strings druckt die Zeichenketten druckbarer Zeichen in Dateien und gibt sie in der Konsole aus. Man sieht sofort, es befinden sich zwei Dateinamen darunter.

Analyse mit "Binwalk"

sudo apt install binwalk
binwalk Landschaft.jpg

Binwalk durchsucht binary images nach eingebetteten Dateien und ausführbarem Code. Man erkennt sofort, dass es sich um ein Zip Archiv handelt.

ESP32 - WLAN-Kamera mit ESP32-CAM-Modul (Tasmota)

Mit Hilfe der Tasmota Firmware, welche eigentlich für Sensoren und Schalter verwendet wird, kann man auch sehr gut die Kamera des ESP32-CAM-Modul betreiben. Das ESP32-CAM-Entwicklungsboard mit Kameramodul gibt es schon für ca. 15 EUR. Die Anwendungsgebiete wären z.B. Webcam, Beobachtungs Kamera oder auch Gesichtserkennung.

ESP32 Cam – Verbindung mit USB Brücke (FTDI)

Leider hat das ESP32-CAM-Modul keine direkte USB-Schnittstelle. Um die Programmierung durchführen zu können benötigt man einen USB to Serial Konverter. Dieser FTDI (Yizhet FTDI Serial Adapter FT232RL USB zu TTL Adapter 3,3V / 5V Modul) kostet ca. 3-4 EUR.

Hinweis: Bitte auf die richtige Spannung von 3.3V des FTDI achten!

Für die Verkabelung habe ich ein Steckbrett und Pinheader Kabel verwendet.

1. Strom Verbindung herstellen (3,3V und Masse (GND)) verbinden
2. Datenleitungen (RX/TX) anschließen
3. Verbindung zwischen Masse und IO0 wird NUR zum Programmieren gesteckt und danach wieder entfernt. Vor der Programmierung sollte man ggf. ein Reset durchführen.
   

Tasmota Webcam Server installieren

1. Schritt: Firmware aufspielen, hierfür benötigt man nur einen Browser, welcher auf die USB-Schnittstelle Zugriff hat.
• Tasmota-Web-Installer https://tasmota.github.io/install/
• 
  
• 
• So kann man direkt die Konfiguration der Firmware (lokale WLAN Konfiguration) angepasst werden.
• Ansonsten ist dies etwas aufwendiger, siehe z.B. https://www.fambach.net/esp32-cam-modul/#Testprogramm.
2.  Schritt: Verbindung zwischen Masse und IO0 kappen, damit die Konfiguration (für z.B. WLAN) erfolgen kann.
   
• 
  
  
• nn
3. Schritt: Einstiegsseite (IP-Adresse des ESP32) zeigt das Kamerabild
   
• Eine Oberfläche zur Bedienung fehlt aber, die Befehle wie z.B. Auflösung oder Helligkeit müssen per Konsole angepasst werden.
  
• WcResolution = Image resolution, 13: FRAMESIZE 1600x1200
• http://192.168.1.55/cm?cmnd=WcResolution%2013
• Einzelbilder: http://192.168.1.55/snapshot.jpg
• Videostream: http://192.168.1.55:81
  

Übersicht über die Konfigurationsoptionen des Kamera-Webservers in Tasmota https://cgomesu.com/blog/Esp32cam-tasmota-webcam-server/#webcam-server-additional-configurations.

Eine weitere Alternative Firmware ist https://github.com/easytarget/esp32-cam-webserver, diese lässt sich aber nicht direkt per Browser installieren (siehe auch Arduino IDE für ESP32 einrichten). Auch interssant ist die folgende KI Firmware https://jomjol.github.io/AI-on-the-edge-device/index.html.

Quelle c't 6/2023 S. 30